回帖：[漏洞]如何过滤'or'='or'！！





现在很多的公司网站的后台漏洞是大的叫人害怕


只要写入'or' '='，





就可以顺利的登入它的后台管理


针对于此，大家都是如和处理的？





希望各位发出自己的检验，完善下这个帖子，





PS：为安全做点力量





我本着抛砖引玉思想欢迎大家来一起讨论此帖，谢谢！


此帖已经在远望论坛发帖子讨论,已经有人回复总结一文,在此一起发出,希望更多的人针对此发表自己的见解





针对ASP中SQL Injection的初级防护（总结版）


robur/文





记得大约是在2002年的时候，SQL Injection（SQL注入）开始有了最初的雏形。黑客们发现，在动态网页的某些地方（表单等……）插入一些可以在数据库查询中起作用的语句和符号，就可以让页面执行后，返回特殊的结果。于是，经过了2003的发展，到2004年，SQL Injection已经作为一种很成熟的入侵技术登上了安全界的舞台。也是2004年，有大批的网站程序被发现了SQL Injection漏洞，也有大批的网站栽倒在这种攻击手段之下。


下面，我就小行和逍遥一指令的帖子，作总结性的说明，仅供参考。


正如如小行所说的，在某些网站的登录界面，如果你知道了存在的用户名（例如：admin），你无须知道密码。只需在密码框中输入' or ''='即可。（注意，全是单引号！）这样在不知道密码的情况下，也可以用admin的身份登录。


但是，我想说的是，' or ''='在一些地方会出现问题。有些数据库不会认为“空”＝“空”是成立的条件，这样就不行了。最好写成' or '1'='1


这样，SQL的查询语句，就变成了如下的样子。


select * from users where name='admin' and pass='123456' or '1'='1'


上面，蓝色的部分是用户在密码框中输入的数据。大家可以看见，由于用户的巧妙构造，使得SQL Server把这条查询语句解析为3个条件：


1、name='admin'


2、pass='123456'


3、'1'='1'


关键是中间的那个or，这样一来，SQL Server在解析的时候，只要条件2、3，符合一个就可以了。


因为1＝1是衡成立的，所以这个查询的结果肯定是true。





既然已经知道了原理，那我们可以试着防范这种攻击。


我们的根本目标，就是把用户输入的单引号和or过滤掉，这样就能在基本上杜绝SQL Injection攻击。但是，需要强调的是，SQL语句中，起作用的还有and，分号，--（两个减号）等等。





解释一下：and用于连接两个条件。;（分号）用于分隔两个语句。（如果把两个语句写在一行，就需要它。）--（双减号只在MS SQL Server中起作用，含义是忽略后面的内容。这个通常在繁琐的MS SQL注入中使用。）





回归主题。asp中为我们提供的字符转义函数：Replace。看代码：